Protector.C вирус — очистка невозможна

[Orlana]

Доброго времени суток!
У меня такая проблема, у кого-то читала об этом вирусе
C:WINDOWSsystem32driversatapi.sys — Win32/Protector.C вирус — очистка невозможна. Но не решаюсь сама что-то предпринимать. Видео-файлы не загружаются, часто виснет компьютер 🙁 Не сказать, что все плохо, но это напрягает. Воспользовалась программой RSIT.exe, скачала ComboFix.exe, но ей не воспользовалась. Хотела бы, чтобы вы меня проинструктировали, а то мало ли что… Я видела, вы помогаете многим людям, почитав, там похлеще есть)). Прошу вашей помощи. Заранее вам всем благодарна

info.txt logfile of random’s system information tool 1.06 2009-12-11 23:12:42

======Uninstall list======

—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
7-Zip 4.49—>MsiExec.exe /I{23170F69-40C1-2701-0449-000001000000}
Adobe Flash Player 10 ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Photoshop CS—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime701Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{EFB21DE7-8C19-4A88-BB28-A766E16493BC}setup.exe» -l0x9
Adobe Reader 7.0—>MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
Apollo 37zz—>»C:Program FilesApollounins000.exe»
ATI — Software Uninstall Utility—>C:Program FilesATI TechnologiesUninstallAllAtiCimUn.exe
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Enable S3 for USB Device—>C:WINDOWSIsUninst.exe -f»C:Program FilesGigabyteEnable S3 for USB DeviceUninst.isu»
English Trainer—>D:англ тренажерtrainerUninstall.exe
Flock 1.2—>C:Program FilesFlockuninst.exe
Intel Application Accelerator—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{9984DF60-1C5B-11D3-ACA1-908A4FC10801}Setup.exe» -INTELUNINST
K-Lite Mega Codec Pack 4.4.5—>»C:Program FilesK-Lite Codec Packunins000.exe»
LG USB Modem Driver-MDMS—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime100Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{4B141C08-51E5-4224-81BD-5FC967195734}setup.exe» -l0x9 -removeonly
LG_MobileSync—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime1150Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{0B7BA3EE-D7AC-494E-999D-DA58D6D01DAC}setup.exe» -l0x19 -removeonly
Lizardtech DjVu Control—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{105CFC7C-6992-11D5-BD9D-000102C10FD8}Setup.exe» -l0x9
Mail.Ru Агент 5.5 (сборка 2842, для всех пользователей)—>C:Program FilesMail.RuAgentmagentsetup.exe -uninstalllm
MathType 6—>»C:Program FilesMathTypeSetup.exe» -R
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (3.0.15)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
Nero 6 Ultra Edition—>C:Program FilesAheadnerouninstallUNNERO.exe /UNINSTALL
OpenOffice.org 3.1—>MsiExec.exe /I{CA421186-E81B-4D18-9AD4-A88E4A62CB7C}
Realtek AC’97 Audio—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{FB08F381-6533-4108-B7DD-039E11FBC27E}setup.exe» REMOVE
Skype web features—>MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1—>MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
xp-AntiSpy 3.97-2—>C:Program Filesxp-AntiSpyUninstall.exe
Масяня под желтым прессом—>C:Program FilesAlawarМасяня под желтым прессомUninstall.exe
Скользящие блоки—>C:Program FilesСкользящие блокиuninstall.exe

======Security center information======

AV: ESET NOD32 Antivirus 4.0

======System event log======

Computer Name: BF3583E96F4448B
Event Code: 7035
Message: Служба «Совместимость быстрого переключения пользователей» успешно отправила управляющий элемент «запустить».

Record Number: 6695
Source Name: Service Control Manager
Time Written: 20091027190613.000000+180
Event Type: информация
User: NT AUTHORITYSYSTEM

Computer Name: BF3583E96F4448B
Event Code: 7036
Message: Служба «Службы терминалов» перешла в состояние Работает.

Record Number: 6694
Source Name: Service Control Manager
Time Written: 20091027190613.000000+180
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 4201
Message: Система обнаружила, что сетевой адаптер DEVICETCPIP_{C8DEB730-A234-451B-B6E2-01E73CA7E310} был подключен к сети,
и инициировала нормальную работу через этот сетевой адаптер.

Record Number: 6693
Source Name: Tcpip
Time Written: 20091027190556.000000+180
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 6005
Message: Запущена служба журнала событий.

Record Number: 6692
Source Name: EventLog
Time Written: 20091027190554.000000+180
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 6009
Message: Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 6691
Source Name: EventLog
Time Written: 20091027190554.000000+180
Event Type: информация
User:

=====Application event log=====

Computer Name: BF3583E96F4448B
Event Code: 105
Message: The service was started.

Record Number: 564
Source Name: ATI Smart
Time Written: 20091008180922.000000+240
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 1800
Message: Служба центра обеспечения безопасности Windows запущена.

Record Number: 563
Source Name: SecurityCenter
Time Written: 20091007225904.000000+240
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 105
Message: The service was started.

Record Number: 562
Source Name: ATI Smart
Time Written: 20091007225900.000000+240
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 1800
Message: Служба центра обеспечения безопасности Windows запущена.

Record Number: 561
Source Name: SecurityCenter
Time Written: 20091007225336.000000+240
Event Type: информация
User:

Computer Name: BF3583E96F4448B
Event Code: 105
Message: The service was started.

Record Number: 560
Source Name: ATI Smart
Time Written: 20091007225320.000000+240
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 2 Stepping 9, GenuineIntel
«PROCESSOR_REVISION»=0209
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

Logfile of random’s system information tool 1.06 (written by random/random)
Run by Администратор at 2009-12-11 23:11:50
Microsoft Windows XP Professional Service Pack 3
System drive C: has 3 GB (32%) free of 10 GB
Total RAM: 511 MB (26% free)

======Scheduled tasks folder======

C:WINDOWStasks{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SoundMan»=C:WINDOWSSOUNDMAN.EXE [2003-08-15 57344]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2009-04-09 2029640]
«KernelFaultCheck»=C:WINDOWSsystem32dumprep 0 -k []
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-10-09 7975608]
«NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2001-07-09 155648]
«Regedit32″=C:WINDOWSsystem32regedit.exe []

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2008-04-14 15360]
«AlcoholAutomount»=C:Program FilesAlcohol SoftAlcohol 120axcmd.exe [2008-02-22 217544]
«Skype»=C:Program FilesSkypePhoneSkype.exe [2009-10-09 25623336]
«PopRock»=C:DOCUME~19335~1LOCALS~1Tempc.exe []
«QIP2005″=C:Program FilesQIPqip.exe [2009-02-12 3276288]
«photo_id»=C:Documents and SettingsАдминистраторphoto_id.exe []

C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
Adobe Gamma Loader.lnk — C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
Adobe Reader Speed Launch.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe

C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузка
sysupd32.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2006-05-03 61440]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:Program FilesSkypePlugin ManagerskypePM.exe»=»C:Program FilesSkypePlugin ManagerskypePM.exe:*:Enabled:Skype Extras Manager»
«C:Program FilesuTorrentuTorrent.exe»=»C:Program FilesuTorrentuTorrent.exe:*:Enabled:µTorrent»
«C:Program FilesSkypePhoneSkype.exe»=»C:Program FilesSkypePhoneSkype.exe:*:Enabled:Skype»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d570133a-302b-11de-b358-00055d3512ed}]
shellAutoRuncommand — F:AUTORUNAUTOPLAY.EXE

======List of files/folders created in the last 1 months======

2009-12-11 23:11:52 —-D—- C:Program Filestrend micro
2009-12-11 23:11:50 —-D—- C:rsit
2009-11-18 11:00:49 —-D—- C:Program FilesuTorrent
2009-11-18 11:00:38 —-D—- C:Documents and SettingsАдминистраторApplication DatauTorrent
2009-11-17 12:02:45 —-D—- C:Documents and SettingsАдминистраторApplication DataFlock
2009-11-17 12:01:58 —-D—- C:Program FilesFlock
2009-11-13 21:46:40 —-D—- C:Documents and SettingsAll UsersApplication DataMacrovision
2009-11-13 21:46:37 —-D—- C:Program FilesCommon FilesAdobe Systems Shared

======List of files/folders modified in the last 1 months======

2009-12-11 23:12:21 —-D—- C:WINDOWSTemp
2009-12-11 23:11:56 —-D—- C:WINDOWSPrefetch
2009-12-11 23:11:52 —-RD—- C:Program Files
2009-12-11 22:53:23 —-D—- C:Program FilesApollo
2009-12-11 22:37:25 —-D—- C:Program FilesMozilla Firefox
2009-12-11 22:19:56 —-D—- C:Documents and SettingsАдминистраторApplication DataSkype
2009-12-11 22:15:12 —-D—- C:Documents and SettingsАдминистраторApplication DataskypePM
2009-12-10 23:10:21 —-A—- C:WINDOWSSchedLgU.Txt
2009-12-10 23:08:00 —-D—- C:Documents and SettingsАдминистраторApplication DataAdobe
2009-12-10 23:07:33 —-D—- C:Documents and SettingsAll UsersApplication DataAdobe
2009-12-09 17:45:13 —-D—- C:WINDOWSsystem32
2009-11-30 21:43:45 —-A—- C:WINDOWSNeroDigital.ini
2009-11-28 12:42:17 —-RSHDC—- C:WINDOWSsystem32dllcache
2009-11-22 17:47:43 —-D—- C:Documents and SettingsAll UsersApplication DataAlawarWrapper
2009-11-17 17:39:07 —-SHD—- C:WINDOWSInstaller
2009-11-17 12:02:27 —-D—- C:WINDOWS
2009-11-15 13:15:55 —-D—- C:WINDOWSsystem32CatRoot2
2009-11-13 21:46:37 —-D—- C:Program FilesCommon Files
2009-11-13 21:45:56 —-D—- C:Program FilesCommon FilesAdobe
2009-11-13 21:43:11 —-HD—- C:Program FilesInstallShield Installation Information
2009-11-13 21:43:11 —-D—- C:Program FilesAdobe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ehdrv;ehdrv; C:WINDOWSsystem32DRIVERSehdrv.sys [2009-04-09 107256]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2009-04-09 94360]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2008-04-14 40704]
R2 eamon;eamon; C:WINDOWSsystem32DRIVERSeamon.sys [2009-04-09 113960]
R2 mdmxsdk;mdmxsdk; C:WINDOWSsystem32DRIVERSmdmxsdk.sys [2008-04-14 11868]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:WINDOWSsystem32driversALCXSENS.SYS [2003-08-14 404736]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2003-08-15 462684]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2006-05-03 1540608]
R3 HSF_DP;HSF_DP; C:WINDOWSsystem32DRIVERSHSFDPSP2.sys [2008-04-14 1041536]
R3 HSFHWBS2;HSFHWBS2; C:WINDOWSsystem32DRIVERSHSFBS2S2.sys [2008-04-14 220032]
R3 ms_mpu401;Драйвер UART Microsoft MPU-401 MIDI; C:WINDOWSsystem32driversmsmpu401.sys [2001-08-18 2944]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:WINDOWSsystem32DRIVERSRTL8139.SYS [2008-04-14 20992]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-13 30208]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-13 59520]
R3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2008-04-13 20608]
R3 winachsf;winachsf; C:WINDOWSsystem32DRIVERSHSFCXTS2.sys [2008-04-14 685056]
S3 apfo4wmq;apfo4wmq; C:WINDOWSsystem32driversapfo4wmq.sys []
S3 GAGPDrv;GAGPDrv; C:WINDOWSsystem32driversGAGPDrv.sys []
S3 GVCplDrv;GVCplDrv; C:WINDOWSsystem32driversGVCplDrv.sys [2004-05-02 23040]
S3 lgusbsmodem;LGE Mobile USB Modem; C:WINDOWSsystem32DRIVERSlgusbsmodem.sys [2006-02-07 42436]
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2004-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2006-05-03 413696]
R2 ekrn;ESET Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2009-04-09 731840]
R2 StarWindServiceAE;StarWind AE Service; C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe [2007-05-28 275968]
S2 ATI Smart;ATI Smart; C:WINDOWSsystem32ati2sgag.exe [2006-05-03 520192]
S3 Adobe LM Service;Adobe LM Service; C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe [2009-11-13 68096]
S3 EhttpSrv;ESET HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2009-04-09 20680]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]

---

EOF

---

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте свежую версию Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Orlana]

Спасибо за совет. Но про Recovery console я читала. Я плохо во всем разбираюсь, поэтому простите мою глупость. Так не поняла, что это и откуда ее брать. Запомнила какая система XP Professional версия 2002 SP 3. Операционка нелицензионная, это ничего?

[Orlana]

А точнее мне непонятен вот этот пункт: «Скачайте с этой странички сайта Microsoft образ установочного диска соответствующий вашему сервис паку Для третьего сервис пака, выберите диск от сервис пака 2. Сохраните выбранный файл на ваш рабочий стол» Откуда именно скачать? ❓

[cman]

Это должно немного прояснить ситуацию.

Установка и использование консоли восстановления в Windows XP.

Как получить установочные диски Windows XP.

[Orlana]

Ребята, всем вам спасибо за четкие инструкции поглядите RISTовские файлы

[Orlana]

И еще — у меня Сombofix сам куда-тот делся

[Аноним]

C:WINDOWSsystem32driverscdrom.sys — Win32/Protector.G вирус — очистка невозможна

А у меня вот какое…..Что делать то, а? 😥

[Автор]

Сообщения